为云服务配置租户 CA 证书

项目
09/27/2024

重要

这是 Azure Sphere（旧版）文档。 Azure Sphere（旧版）将于 2027 年 9 月 27 日停用，用户此时必须迁移到 Azure Sphere（集成）。 使用位于 TOC 上方的版本选择器查看 Azure Sphere（集成）文档。

创建租户时，Azure Sphere 安全服务会颁发租户 CA 证书。每个租户 CA 证书的生存期为两年，开始日期和结束日期在证书中捕获。

当设备连接到 Azure IoT 中心、Azure IoT Central 或后端服务时，该服务必须能够验证设备是否属于 Azure Sphere 租户，以及租户本身是否合法。若要执行此身份验证，该服务需要有效的 Azure Sphere 租户 CA 证书链，该链用于对设备作为日常证明和身份验证的一部分接收的证书进行签名。有关详细信息，请参阅证书与 Azure Sphere 配合使用。

当租户的当前 CA 证书即将过期时，将在证书过期前大约 90 天自动颁发新的租户 CA 证书。

必须将 Azure IoT 托管服务或后端服务配置为信任这两个租户 CA 证书。如果这两个证书都受信任，服务将在新证书生效后立即使用，从而在 Azure Sphere 安全服务切换到使用新租户 CA 证书时防止通信中断。

向云服务提供租户 CA 证书

将云服务配置为信任租户 CA 证书的过程涉及：

步骤 1：列出和标识租户 CA 证书
步骤 2：下载租户 CA 证书
步骤 3：上传租户 CA 证书并生成验证码
步骤 4：验证租户标识

步骤 1：列出和标识租户 CA 证书

运行 azsphere ca-certificate list 以获取当前租户的可用证书列表。

当当前证书到期续订时，Azure Sphere 安全服务会自动生成下一个证书，该证书与当前（活动）证书一起显示。

在证书列表中，当前租户 CA 证书的状态显示为 “活动 ”，其他证书的状态显示为 “非活动”。

下表提供了证书状态的详细信息：

状态	说明
活动	当前租户 CA 证书。
非活动	状态可能意味着以下任一项：新租户 CA 证书：当当前租户 CA 证书即将过期时，会颁发新的租户 CA 证书。新证书的状态在颁发后大约 45 天内显示为非活动状态。已停用的证书：切换证书时，当前活动证书和过期证书的有效期重叠，以避免中断或丢失连接。当新证书的状态变为活动状态时，旧证书的状态将变为非活动状态。过期的证书：已过期的证书的状态。
已撤销	不受信任的证书。

步骤 2：下载租户 CA 证书

运行 azsphere ca-certificate 下载 ，将所需的证书下载为“.cer”文件。

Azure Sphere CLI
Azure Sphere 经典 CLI

指定用于下载所需证书的索引的示例：

azsphere ca-certificate download --destination ca-cert.cer --index ``<value>`

指定指纹以下载所需证书的示例：

azsphere ca-certificate download --destination ca-cert.cer --thumbprint <value>

指定用于下载所需证书的索引的示例：

azsphere ca-certificate download --output ca-cert.cer --index 1

指定指纹以下载所需证书的示例：

azsphere ca-certificate download --output ca-cert.cer --thumbprint <value>

注意

Azure Sphere 经典 CLI 即将停用。建议使用 Azure Sphere（集成）。

注意

请确保提供 --index 或 --thumbprint 下载所需的证书。如果未提供索引或指纹，则默认下载活动证书。

步骤 3：上传租户 CA 证书并生成验证码

对于 Azure IoT 托管服务，请将租户 CA 证书上传到Azure IoT 中心

或 Azure IoT Central。

如果使用后端服务，请参阅该服务提供的文档。

步骤 4：验证租户标识

对于 Azure IoT 托管服务，注册是一个双重过程。第一步是在 Azure IoT 中上传新的租户 CA 证书。必须验证上传的租户 CA 证书，以证明 Azure Sphere 租户的所有权。在下一步中，Azure Sphere 安全服务提供所有权证明证书。将所有权证明证书上传到 Azure IoT 后，证书注册过程将完成。有关验证租户 CA 证书的详细信息，请参阅设置Azure IoT 中心或设置 Azure IoT Central。

如果使用后端服务，请参阅该服务提供的文档。有关详细信息，请参阅设置Azure IoT 中心或使用设备预配服务为 Azure Sphere 设置Azure IoT 中心。

租户 CA 证书续订的时间线

租户 CA 证书即将过期时，Azure Sphere 安全服务会自动启动续订过程。

下图显示了证书续订的各个阶段：

租户证书阶段

标注	阶段
1	当前租户 CA 证书（证书 A）有效期为 2 年，标记为 “活动”。
2	续订过程在证书 A 过期前大约 90 天开始。将创建一个新的租户 CA 证书（证书 B），并将其标记为 “非活动”。此时，证书 B 可供下载，但证书 A 保留为活动证书大约 45 天。必须在 45 天内采取措施，以便设备继续正确向云服务进行身份验证。
3	证书 B 在颁发后大约 45 天内成为活动证书。在此阶段，证书 A 标记为 “非活动 ”，证书 B 将成为活动证书。证书 B 将用于识别和验证设备。确保云服务同时配置了证书 A 和证书 B，以便正确操作。
4	证书 A 已过期。现在可以从云服务中删除证书 A。
5	证书 B 有效期为 2 年。

提示

图像中的日期仅用于说明，并且会因客户而异。

可能需要滚动更新证书才能处理证书过期。有关滚动证书的详细信息，请参阅 Azure IoT 托管服务，或查阅首选后端服务提供的文档。

另请参阅

管理租户

azsphere tenant

通过